Une faille 0-day dans Java sous Windows
mar, 13/04/2010 - 14:55
Deux chercheurs ont publié l’existence d’une vulnérabilité dans Java 6. Il donnerait à des attaquants de nouveaux points d'attaque par Drive-by-Download, ce qui permet l'exécution d'un code arbitraire pouvant aboutir à la prise de contrôle à distance de la machine attaquée. La vulnérabilité a été évaluée comme « extrêmement critique » par les experts en sécurité de G Data Software.
Cette faille est facilement exploitable et n’est pas bloquée par les dispositifs de sécurité de Windows Vista ou Windows 7. La faille existerait sous Linux aussi, mais il n'y aurait pas de encore d'exploit. Sous Windows par contre c'est autre chose... C'est le chercheur en sécurité Tavis Ormandy qui a publié les informations concernant cette vulnérabilité sur seclist.org. La vulnérabilité provient du plug-in Java Deployment Toolkit des navigateurs Internet, installé automatiquement lors de l'installation de la machine virtuelle Java. Ormandy a publié une preuve-de-concept qui met en marche la calculatrice dans Microsoft Windows. Seulement quelques heures plus tard, le chercheur Rubén Santamarta a publié la façon de charger un DLL arbitraire à distance. Selon Santamarta il est possible de contourner les mesures de sécurité DEP et ASLR. Le fichier DLL est alors directement chargé dans le processus mémoire du lanceur Web.
G-Data donne deux recommandations pour se protéger de cette faille:
- Pour Microsoft Internet Explorer, il est nécessaire de placer un Bit d’arrêt pour l’ActiveX classe ID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA. Le manuel sur la façon dont réaliser cette manipulation peut être consulté ici : http://support.microsoft.com/kb/240797
- Pour Mozilla Firefox, ouvrez le menu Outils et choisissez Modules complémentaires. Dans l’onglet Plugins sélectionnez Java Deployment Toolkit et cliquez sur Désactiver.